Sinterklaasjournaal gehacktAls gevolg van een beveiligingsprobleem in de website van het Sinterklaasjournaal kon een hacker gegevens van 13.000 kinderen opvragen. Het lek zou te maken hebben met een tool die al sinds 2005 werd gebruikt en onvoldoende was beveiligd. Als gevolg van een beveiligingsprobleem in de website van het Sinterklaasjournaal kon een hacker gegevens van 13.000 kinderen opvragen. Het lek zou te maken hebben met een tool die al sinds 2005 werd gebruikt en onvoldoende was beveiligd.

Sinterklaasjournaal gehacktDe hacker claimt dat hij de gegevens van duizenden kinderen heeft kunnen inzien. De publieke omroep NTR bevestigt dat; het ging om de gegevens van 13.000 kinderen. "Het gaat om een tool die sinds 2005 online staat", zegt woordvoerster Helen Albada van de NTR. "Die tool bleek niet beveiligd op de wijze waarop we de rest hebben beveiligd." De tool werd, ondanks de slechte beveiliging, ook dit jaar nog gebruikt.

De tool gaf kinderen de mogelijkheid om bijvoorbeeld tekeningen in te sturen en kleurplaten te downloaden, maar bleek ongewild tot meer in staat. Via sql-injectie, een vaak voorkomende methode om beveiligingen te omzeilen, kon een databasedump worden gemaakt. Onder andere naam, e-mailadres en leeftijd werden in de database opgeslagen. De hacker, die anoniem wil blijven, plaatste op het internet een gedeeltelijke en gecensureerde dump van een tabel met administratieve logingegevens. Hij zegt dat hij bewust niet meer dan die informatie uit de database heeft gedownload. "Dat zou niet netjes zijn", zegt hij.

Volgens de hacker ging het trouwens om een tabel met de naam 'verlanglijstjes', maar Albada zegt dat dergelijke functionaliteit niet op de website van het Sinterklaasjournaal te vinden is. Die functionaliteit zat aanvankelijk wel in de gehackte tool, maar is inmiddels verdwenen. Het ging bij de hack niet om het 'grote boek' waar gegevens van 1,5 miljoen kinderen in stonden, benadrukt de NTR.

Het Sinterklaasjournaal riep de jonge kijkers op om hun naam en e-mailadres op de website in te vullen in het 'grote boek', omdat ze anders 'geen cadeautjes zouden krijgen'. Volgens ict-jurist Arnoud Engelfriet is de actie twijfelachtig; kinderen onder de zestien mogen niet zonder toestemming van hun ouders hun persoonsgegevens vrijgeven en de publieke omroep NTR heeft de verwerking van de gegevens niet aangemeld bij het CBP, wat in strijd is met de Wet bescherming persoonsgegevens. De NTR stelt echter dat het 'verder niets met de gegevens doet', dus dat het de registratie daarom niet aan zou hoeven melden. (Tweakers.net)